Cette page a été traduite par l'API Cloud Translation.

Intégrer Microsoft Entra ID Protection à Google SecOps

Ce document explique comment intégrer Azure AD Identity Protection à Google Security Operations (Google SecOps).

Version de l'intégration : 7.0

Prérequis

Avant de configurer l'intégration dans la plate-forme Google SecOps, effectuez les étapes préalables suivantes :

Créez l'application Microsoft Entra.
Configurez les autorisations de l'API pour votre application.
Créez un code secret du client.

Créer une application Microsoft Entra

Connectez-vous au portail Azure en tant qu'administrateur d'utilisateurs ou administrateur de mots de passe.
Sélectionnez Microsoft Entra ID.
Accédez à Inscriptions d'applications > Nouvelle inscription.
Saisissez le nom de l'application.
Cliquez sur S'inscrire.
Enregistrez les valeurs Application (client) ID (ID (client) de l'application) et Directory (tenant) ID (ID (de locataire) de l'annuaire) pour les utiliser ultérieurement lors de la configuration des paramètres d'intégration.

Configurer les autorisations de l'API

Accédez à Autorisations d'API > Ajouter une autorisation.
Sélectionnez Microsoft Graph.
Dans la section Sélectionner des autorisations, sélectionnez les autorisations suivantes :
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.ReadWrite.All
Cliquez sur Ajouter des autorisations.
Cliquez sur Accorder le consentement administrateur pour YOUR_ORGANIZATION_NAME.

Lorsque la boîte de dialogue Confirmation de l'accord de l'administrateur s'affiche, cliquez sur Oui.

Créer code secret du client

Accédez à Certificats et codes secrets > Nouveau code secret du client.
Indiquez une description pour un code secret du client et définissez sa date d'expiration.
Cliquez sur Ajouter.
Enregistrez la valeur du code secret du client (et non l'ID du code secret) pour l'utiliser comme valeur du paramètre Client Secret lors de la configuration de l'intégration. La valeur du secret client n'est affichée qu'une seule fois.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API de connexion	Chaîne	https://login.microsoftonline.com	Non	Racine de l'API utilisée pour l'authentification avec la plate-forme Microsoft Identity.
Racine de l'API	Chaîne	https://graph.microsoft.com	Oui	Racine de l'API de l'instance Microsoft Entra ID Protection.
ID du locataire	Chaîne	N/A	Oui	ID de locataire du compte Microsoft Entra ID Protection.
ID client	Chaîne	N/A	Oui	ID client du compte Microsoft Entra ID Protection.
Code secret du client	Mot de passe	N/A	Oui	Code secret du client du compte Microsoft Entra ID Protection.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, elle vérifie que le certificat SSL pour la connexion au serveur Microsoft Entra ID Protection est valide.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ping

Testez la connectivité à Microsoft Entra ID Protection.

Paramètres

N/A

Exécuter sur

L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat	Valeur/Description	Type (entité \ général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Azure AD Identity Protection établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Azure AD Identity Protection ! Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur/Description

Type (entité \ général)

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Azure AD Identity Protection établie avec les paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur Azure AD Identity Protection ! Error is {0}".format(exception.stacktrace)

Général

Enrichir les entités

Enrichissez les entités à l'aide des informations de Microsoft Entra ID Protection. Entités acceptées : nom d'utilisateur, adresse e-mail (entité utilisateur correspondant au modèle d'expression régulière de l'adresse e-mail).

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Créer un insight	Case à cocher	Cochée	Non	Si cette option est activée, l'action crée un insight contenant toutes les informations récupérées sur l'entité.

Exécuter sur

Cette action s'applique à l'entité "Nom d'utilisateur".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "id": "2600d017-84a1-444f-94ba-4bebed30b09e",
    "isDeleted": false,
    "isProcessing": false,
    "riskLevel": "none",
    "riskState": "remediated",
    "riskDetail": "userPerformedSecuredPasswordChange",
    "riskLastUpdatedDateTime": "2021-09-02T14:10:48Z",
    "userDisplayName": "user_1",
    "userPrincipalName": "user_1@example.com"
}

Enrichissement d'entités

Nom du champ d'enrichissement	Logique : quand les utiliser ?
is_deleted	Lorsqu'il est disponible au format JSON
is_processing	Lorsqu'il est disponible au format JSON
risk_level	Lorsqu'il est disponible au format JSON
risk_state	Lorsqu'il est disponible au format JSON
risk_detail	Lorsqu'il est disponible au format JSON
risk_updated	Lorsqu'il est disponible au format JSON
display_name	Lorsqu'il est disponible au format JSON
principal_name	Lorsqu'il est disponible au format JSON

Mur des cas

Type de résultat	Valeur/Description	Type (entité \ général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations d'Azure AD Identity Protection : {entity.identifier}". Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations d'Azure AD Identity Protection : {entity.identifier}". Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)	Général
Tableau du mur des cas	Nom de la table : {entity.identifier} Colonnes du tableau : Clé Valeur	Entité

Type de résultat

Valeur/Description

Type (entité \ général)

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations d'Azure AD Identity Protection : {entity.identifier}".

Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations d'Azure AD Identity Protection : {entity.identifier}".

Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace)

Général

Tableau du mur des cas

Nom de la table : {entity.identifier}

Colonnes du tableau :

Clé
Valeur

Entité

Mettre à jour l'état de l'utilisateur

Mettre à jour l'état de l'utilisateur dans Microsoft Entra ID Protection. Entités acceptées : nom d'utilisateur, adresse e-mail (entité utilisateur correspondant au modèle d'expression régulière de l'adresse e-mail).

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
État	LDD	Compromis Valeurs possibles : Compromis Ignorée	Non	Spécifiez l'état des utilisateurs.

Nom à afficher du paramètre

Type

Valeur par défaut

Obligatoire

Description

État

LDD

Compromis

Valeurs possibles :

Compromis
Ignorée

Non

Spécifiez l'état des utilisateurs.

Exécuter sur

Cette action s'applique à l'entité "Nom d'utilisateur".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat	Valeur/Description	Type (entité \ général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 204 est signalé pour un utilisateur (is_success=true) : "L'état des utilisateurs suivants a été mis à jour dans Azure AD Identity Protection : {identifiant de l'entité}". Si un utilisateur est introuvable (is_success=true) : "Les utilisateurs suivants sont introuvables dans Azure AD Identity Protection : {entity.identifier}" Si aucun utilisateur n'est trouvé (is_success=true) : "Aucun des utilisateurs fournis n'a été trouvé dans Azure AD Identity Protection." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'utilisateur". Raison : {0}''.format(error.Stacktrace)'	Général

Type de résultat

Valeur/Description

Type (entité \ général)

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état 204 est signalé pour un utilisateur (is_success=true) : "L'état des utilisateurs suivants a été mis à jour dans Azure AD Identity Protection : {identifiant de l'entité}".

Si un utilisateur est introuvable (is_success=true) : "Les utilisateurs suivants sont introuvables dans Azure AD Identity Protection : {entity.identifier}"

Si aucun utilisateur n'est trouvé (is_success=true) : "Aucun des utilisateurs fournis n'a été trouvé dans Azure AD Identity Protection."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'état de l'utilisateur". Raison : {0}''.format(error.Stacktrace)'

Général

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur Azure AD Identity Protection – Détections de risques

Extrayez des informations sur les détections de risques à partir de Microsoft Entra ID Protection.

Le filtre de liste dynamique fonctionne avec le paramètre riskEventType.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API de connexion	Chaîne	https://login.microsoftonline.com	Non	Racine de l'API utilisée pour l'authentification avec la plate-forme Microsoft Identity.
Racine de l'API	Chaîne	https://graph.microsoft.com	Oui	Racine de l'API de l'instance Microsoft Entra ID Protection.
Nom du champ de produit	Chaîne	Nom du produit	Oui	Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est `Product Name`.
Nom du champ d'événement	Chaîne	riskEventType	Oui	Nom du champ qui détermine le nom (sous-type) de l'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut.
`Environment Regex Pattern`	Chaîne	.*	Non	Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ `Environment Field Name`. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière. Utilisez la valeur par défaut `.*` pour récupérer la valeur `Environment Field Name` brute requise. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
PythonProcessTimeout	Integer	180	Oui	Délai limite, en secondes, pour le processus Python qui exécute le script actuel.
Racine de l'API	Chaîne	https://graph.microsoft.com	Oui	Racine de l'API de l'instance Microsoft Entra ID Protection.
ID du locataire	Chaîne	N/A	Oui	ID de locataire du compte Microsoft Entra ID Protection.
ID client	Chaîne	N/A	Oui	ID client du compte Microsoft Entra ID Protection.
Code secret du client	Mot de passe	N/A	Oui	Code secret du client du compte Microsoft Entra ID Protection.
Niveau de risque le plus faible à récupérer	Chaîne	N/A	Non	Risque le plus faible à utiliser pour récupérer les alertes. Valeurs possibles : `Low`, `Medium`, `High`. Si aucune valeur n'est spécifiée, le connecteur ingère les détections de risque avec tous les niveaux de risque.
Nombre maximal d'heures en arrière	Integer	1	Non	Nombre d'heures pour lesquelles les détections de risques doivent être récupérées.
Nombre maximal d'alertes à récupérer	Integer	100	Non	Nombre d'alertes à traiter par itération de connecteur.
`Use whitelist as a blacklist`	Case à cocher	Décochée	Oui	Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Microsoft Entra ID Protection.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Le connecteur est compatible avec les proxys.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.